解決帳號被盜的好辦法
什麼是兩步驟驗證?簡單的來說,就是不小心洩漏了密碼,別人也無法登入你的帳戶,這不僅是「預防」帳號被盜的好辦法,同時也是「治療」盜號被盜時的一帖良藥,我個人認為,每個人都應該要即刻導入「兩步驟驗證」。
而「兩步驟驗證」的作法,就是在登入時,除了要輸入你原本的「密碼」之外,並且還要再輸入另外一組「浮動」的「驗證碼」,而這組「驗證碼」是則「驗證器」配合一組「金鑰」及「時間」所產生,也就是這組所產生的驗證碼,是有「時效性」的,它的時效就是「30秒」,所以只要你在設定「兩步驟驗證」時,將產生出來的金鑰密碼保存好(建議忘記它,不要留下任何記錄),那就算是密碼被盜,對方也絕對無法登入你的帳戶的。
(圖片來源:Google 兩步驟驗證)
因此,「兩步驟驗證」的重點,就是「驗證碼」如何產生?用什麼產生?
目前絕大部份重要的網站服務,都已經有支援「兩步驟驗證」,像是Google、Microsoft、Evernote、Dropbox…等等,甚至是線上遊戲,也開始導入這種驗證方式,如暴風雪系列的遊戲(魔獸世界、暗黑破壞神…)。
而「驗證碼產生器」可以是「軟體」,像是智慧型Android手機專用的「Google Authenticator」、Windows電腦專用的「WinAuth」,我都將它們歸類在「軟體」。而在「硬體」方面,魔獸世界也有銷售像「BB Call」的驗證碼產生器,另外「全景軟體」類似USB隨身碟裝置的「myPass認證碟」等,都是屬於「硬體」,而無論是使用哪種方式,都有它的優缺點,只要挑選適合自己的方式,效果都是一樣的。
當時候我原本也是捥拒了「全景軟體」的邀請,後來才看到他們的產品,居然有個是跟「兩步驟驗證」相關的產品「myPass認證碟」,這才引起我的興趣,因為市面上好像比較少這類硬體式的設備,所以就接受了他們的試用邀請,來把我試用的結果及感覺,客觀的分享給大家。
「驗證碼產生器」優缺點分析
「軟體」類的驗證碼產生器,絕大部份都是「免費」的,這是它最大的優點,因此若你有使用智慧型手機,你可以優先考慮使用這種方式來導入「兩步驟驗證」,那「硬體」類的「驗證碼產生器」就沒有用處了嗎?其實也未必喔。
在硬體方面,以myPass認證碟為例,這一個在商城中特價要賣近900元(PChome商店街),我相信光是要付費這點,就會擊退大部份家用個人使用者了,我用智慧型手機就好了,不是嗎?
沒錯,因此我在先前才會建議,若你只是個人在使用,且手上有智慧型手機的使用者,應優先使用免費的「手機APP」,也就是「Google Authenticator」,但若是你沒有智慧型手機的話,就可以來考慮使用專用的myPass。
雖然在家用的市場,會用到的機會比較少,但在「公司」,我認為這就太有用處了。
我以前待的一家公司,當時由於架設在公司內部的Mail Server(郵件伺服器),經常出問題,所以我一度想要說服老闆使用「Google Apps for Business」這個Google的服務,當時Google Apps for Business服務還是「免費」的,而且每個帳戶最多可以開啟高達50個免費的Mail Account,以Google服務的品質來說,絕對比我們在公司自架主機要穩定很多,不用擔心電腦會三不五時就掛掉,所以使用Google Apps for Business,絕對是「Z>B」…
但可惜的是,最後老闆還是不同意,他的想法很簡單,電子郵件屬於公司的機密資料,因此只能放在自己家,不能放在別人家的機房。
當時會覺得老闆的想法特別,因為就算郵件伺服器放在公司內部的機房,也不見得安全,但從每個人的身份看事情,確實會有不同的結果,從我的角度來看,如果公司使用了Google Apps,那不僅郵件服務的品質可以提升,且我的工作就會輕鬆多了;但若是從經營管理者的角度來看,東西放在自己看的到的地方,總是比較安全的,也許是被老闆看出來我的私心了…orz
所以從這個角度來看myPass認證碟這產品,如果你們公司的mail是使用Gmail、Hotmail的話,無論是「一個人使用一個帳戶」,或是「多人使用同一個帳戶」,以我老闆以前的個性,絕不可能把重要的金鑰設定在私人的手機上的,因為「公私要分離」!
所以一定是每個人配一個myPass認證碟,一方面可以「管制使用人的數量」,另一方面也可以「解決被盜帳號的問題」。
題外話:話說Google Apps for Business,從最早可建立50個免費帳戶,縮小到只能建立10個免費帳戶,直到這一、兩年,所有的免費的優惠已經都沒有,正式進入收費的時代,所以當時候已經申請的人,算都是賺到了,像是我舊網域,還都是可以建立高達50個信箱的帳號,不過我也只建了一個。
不需要獨愛某種驗證碼產生方式
而在我拿到myPass認證碟之後,由於我也算是個人家用的使用者,因此我也實在不可能將這個帶進帶出的,雖然它可以勾在鑰匙圈上,而且也是防水的,其實也算是很方便,但我會將它的角度定義在「備份」。
因為這個myPass認證碟最多可以設定「兩組」金鑰,所以我就將最重要的Google及Microsoft驗證,同時設定在「智慧型手機」和「myPass」上,平常需要登入帳號時,就用智慧型手機,當有一天手機重置或不見,若不想要重設金鑰的話,就可以拿這個myPass先來使用。
除了有這樣的好處之外,在智慧型手機需要輸入驗證碼時,也可以利用電腦來產生,才不會要在智慧型手機上切來切去的,因為這個驗證碼可是有30秒的時間限制,常常等到切到要輸入驗證碼的頁面之後,驗證碼就失效了…
而有關myPass的功能及使用,大家可以直接看全景官網,或是我之前寫的文章:
6 comments
這是免費的,不需要收費。
我想知道一下,这类的验证码是如何收费的? 我是新的google用户,对这些方面不太了解!
那應該還是不錯用的吧?當個第二層的保護。
這產品完全是拿國外的 Yubikey 回到台灣來賣而已,在國外這東西已經行之有年了,連 Google 都建議用這個當作硬體鎖確保資安…
巫小姐您客氣了,在支援兩步驟驗證的硬體方面的產品,在市面上真的好像都沒看到有其它的廠商,因此我在寫兩步驟驗證的文章時,都會將貴公司的myPass當成範例在做介紹。
非常感謝您的試用分享文~ 這些內容給我們很大的鼓勵,也讓我們的產品研發人員能知道更多應用的角度&使用者的心得,真是太謝謝您了!